KorDen Posted June 9, 2017 Share Posted June 9, 2017 В 6/10/2017 в 01:00, ndm сказал: Поддержка OpenVPN добавлена в версии 2.10.A.1.0-0 Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. Quote Link to comment Share on other sites More sharing options...
ndm Posted June 9, 2017 Share Posted June 9, 2017 5 минут назад, KorDen сказал: Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. Поддерживается tun и tap. Скорость до 30 МБит/с на ультре2, но конечно фидбек хотелось бы получить. @Le ecureuil немного в отпуске, правда.. 1 Quote Link to comment Share on other sites More sharing options...
AlexUnder2010 Posted June 9, 2017 Share Posted June 9, 2017 (edited) Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. Конфиг выглядит так: Скрытый текст nobind client # Remote server here remote vpn.zaborona.help remote-cert-tls server cipher AES-128-CBC setenv opt ncp-ciphers AES-128-GCM setenv opt block-outside-dns dev tun proto tcp <ca> -----BEGIN CERTIFICATE----- MIIDOzCCAiOgAwIBAgIJAOZ+WWiLZjjVMA0GCSqGSIb3DQEBCwUAMBgxFjAUBgNV BAMMDVphYm9yb25hLmhlbHAwHhcNMTcwNTE5MTk0MzI3WhcNMjcwNTE3MTk0MzI3 WjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEA4BufraaBWWD5M8h7vt+4wGw/7OHeKOqZN4hS/OmqfwOIEJV3 5OWtzLmL5OpT5kIZ+NetF3ooc2pWRSZ+642IlzjIC2GqT/V5p/VXKjZsAZXQaaVo OuWXlVmJFpR9nO3PIDn4wQvhQPPnJIYQgCl/vMV7TE9ZkpziEBAY9v3chwXHJ8+w DyXkFn/BIMBdDamz+K7ffH17CM4aLr59W9AKc/DVox9ogdXmiVwCXag6byENZZEz 1LgpU+YtH/GnVyLSsaXC/fZQ12/NMjI/XXIM6x02pR/F4faOCLHHdYaWp3XJTQPj vdPp7ve/8qWNijdkRma7y8TbmRYEut/JbiLFyQIDAQABo4GHMIGEMB0GA1UdDgQW BBR7+jwpIvjCvbSi5cDxbig/UkYIuDBIBgNVHSMEQTA/gBR7+jwpIvjCvbSi5cDx big/UkYIuKEcpBowGDEWMBQGA1UEAwwNWmFib3JvbmEuaGVscIIJAOZ+WWiLZjjV MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQCA HG//Q5HrOuucEdqQqmxUhyXp+wZgcHMkDmqaXD2kgbhaa6L7M68yGryDsHFh+pZ6 1ePabk7kmvJnYWEY7veQzWJgBNfHBja+2wTEOEQTJW0DCeJw9QUpajrBcrRQz5DJ BGrXcKAWZvqYjgp3fIDGtxZh0KCaJrPT2jmj3qM+aq8LEhM2mlqpvLVq6FLvUYiU /iTdNpVL6Xdd16839G1VatvnZlCoGTc/6iBwbs9+xt7BkCVdY2gb3egB833gAxwv DMwC41oj8XJlY2N5ieqhINYCtNOa+9REoJP9fycoNMpcejbF/UeEdZtpCfRHAE7h BvStsSqP1Gl9ZeCtmntI -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIBAjANBgkqhkiG9w0BAQsFADAYMRYwFAYDVQQDDA1aYWJv cm9uYS5oZWxwMB4XDTE3MDUxOTE5NDQxMloXDTI3MDUxNzE5NDQxMlowETEPMA0G A1UEAwwGcHVibGljMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0RMM ZHEgUmH5Mve+lOPrAIVfbmLNP+93J3Gymtga4pu/ia44/+7hQiE01ad13RuoiplI 1KyQAaHUiYh2YKX6K+ZTQwHWYXBXVsbmQVjqftSOlakWSWW0gZq9qV8Dbxa1hP51 KTdj8fPk2jfiv/D2N60FaqSg/pL4+Xjjo2ogBLvHujnNebOaZ2VJFQT1chEpT9ch /H0GWMS3qK6vBEnXBcxio8DxfyRMarwbzFfSM4prv4VE7BfgJ+5Fm2IEsLtWKAM1 kH+1rPXaBlZbDj4ozlV4gYD1rJYXL3ngzMj5/Tymt3Oj/RVsM1fl25JaA9hQSr0r Y/2Qb3PuuuQiUkk64wIDAQABo4G2MIGzMAkGA1UdEwQCMAAwHQYDVR0OBBYEFBHa Ph6sI0eq0z6O+E2KFdLA2fPnMEgGA1UdIwRBMD+AFHv6PCki+MK9tKLlwPFuKD9S Rgi4oRykGjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwggkA5n5ZaItmONUwHQYD VR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMRMAsGA1UdDwQEAwIHgDARBgNVHREE CjAIggZwdWJsaWMwDQYJKoZIhvcNAQELBQADggEBAFWlN/iFntyrXC6GA/VY9sWF aah7FUTZ7axd/qL70x+s62VcohddX4qFdETdeAPPva7Z60lKQdXwjXynJ/DiLiS5 UoALMD1bSzDBqA69GrSDTMsYvVU3QvNmUgBvPHjXqqj9ZT287KxYzRPWNY9m8IBA 4T8Q3zJFOtKZH0gijoMUWI10fnwU1olkt5d28ldRC2EYuE+Gdm8jAZDvfQ4XwkvD CfG+gSIJ8Gg1VfsaX2qKgoBNW5or6RSxdBKCiVgLL3GSITlkrrN0O7VvT8C/qDJs pk/mgRCDARL8jLwtaRV0xrDAnSPyuctRpHc6BFJzDKerX7ABCgOOcTUAr8SbbSc= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky 976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66 5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/ SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4 3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm /NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD 7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3 sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln 7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32 c+bjFxzMVzfVFOx30yZN8YbX6Q== -----END PRIVATE KEY----- </key> Edited June 9, 2017 by AlexUnder2010 1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 10, 2017 Share Posted June 10, 2017 (edited) 7 часов назад, AlexUnder2010 сказал: Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. KII все завелось с полпинка, conf взял ранее который описывал тут от OpenVPN Скрытый текст ! interface OpenVPN0 description OpenTest security-level public ip dhcp client dns-routes ip dhcp client name-servers ip global 350 ip tcp adjust-mss pmtu openvpn accept-routes openvpn connect via PPPoE0 up Конфиг в WEB client dev tun1 persist-key persist-tun nobind proto tcp4-client remote vpn.xxxxx.xxx yyyy remote-cert-tls server comp-lzo no verb 3 cipher aes-128-cbc auth sha1 ca /opt/etc/openvpn/ca.crt cert /opt/etc/openvpn/client.crt key /opt/etc/openvpn/client.key #management 127.0.0.1 16 #management-log-cache 100 mute 3 syslog writepid "/opt/var/run/openvpn.pid" resolv-retry infinite script-security 2 tun-mtu 1500 mtu-disc yes setenv opt ncp-ciphers AES-128-GCM resolv-retry infinite серт. положил готовые, маршруты от VPN сервера 1001 nobody 3980 S /usr/sbin/openvpn --syslog OpenVPN0 --config /tmp/openvpn/OpenVPN0/openvpn.config --user nobody --group nobody --syslog OpenVPN0 ovpn_br0 Link encap:Ethernet HWaddr 76:7F:30:76:F8:84 inet addr:192.168.221.7 Bcast:192.168.221.255 Mask:255.255.252.0 inet6 addr: fe80::747f:30ff:fe76:f884/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:68 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:30024 (29.3 KiB) tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 UP POINTOPOINT RUNNING MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:68 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:30024 (29.3 KiB) / # ip ro default dev ppp0 scope link хх.хх.хх.0/18 via 192.168.220.1 dev ovpn_br0 ... 192.168.220.0/22 dev ovpn_br0 proto kernel scope link src 192.168.221.7 Edited June 10, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 9 часов назад, KorDen сказал: Ох ты ж.. Вот это было неожиданно. Еще не ставил.. Поддерживается и tun и tap или только tun? Как с интерфейсами дела обстоят? Правильно ли я понимаю, что OpenVPN будет даже на MT7628N, например 4G III rev. B или Start II? Интересует подключение удаленной точки с достаточной скоростью 4-8 мбит/с, если учесть что IPsec там сломан на уровне присутствующего интернет-канала (аккурат по посту @gik), и хочется избавиться от лишних флешек-entware/openwrt/etc. И tun, и tap. В системе представляется для совместимости в виде Ethernet-интерфейса, можно включать в Bridge (даже tun ), но для tun недоступны VLAN. OpenVPN уже есть в 2.10 на всем, для чего она собралась. Единственное ограничение - все ключи должны быть интегрированы в один файл конфига (пример ниже). Дерзайте! А если что, я хоть и в отпуске, но периодически буду посматривать форум и подскажу с особо непонятными местами. Если что-то идет не так, то > interface OpenVPNX debug и потом self-test в тему. remote 172.16.1.1 dev tun proto udp nobind persist-tun cipher AES-128-CBC comp-lzo no verb 3 ifconfig 10.8.0.2 10.8.0.1 <secret> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- caacc3274dfc05c41f9086261903bb68 adbdd7520caa89ec84a3314eb6eaff5d 49367611a9ec657dbacd47b148ae9f23 cbbbba43ccfc6c6149ee8453a5552944 e31eb1b928c96d9a515dd3f5d486a040 71ccf6a363d94368fb43023c6dcbbb75 3ef0e6fb69525689f3c9bae1ed1fe3b4 72875ae045fe284d70d5388cca730893 c30d4d0d7dd17aafd2e173afd257ab89 9ae308b40cca1f27093e186a59b9f6eb aca37680e01156dd54cd740fb830c994 eaea8a15074b49e85e126841dea57636 f627d50398e5dc756b07806a9f7374a4 a52016cc3ed51c3ae8ba021e26dba3d5 cc5b0e29472961ec0af0ab76b7270e83 ed27316a395fef6ca5f883850f10632e -----END OpenVPN Static key V1----- </secret> Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 10, 2017 Share Posted June 10, 2017 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 9 часов назад, AlexUnder2010 сказал: Собственно, первый же вопрос по OpenVPN. Конфиг, я так понимаю необходимо брать из *.ovpn? Залил его через веб-морду, но в журнале такие сообщения: Jun 10 02:09:42ndmNetwork::Interface::Repository: created interface OpenVPN0. Jun 10 02:09:42ndmNetwork::Interface::Supplicant: authnentication is unchanged. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": interface is up. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": description saved. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": interface is non-global. Jun 10 02:09:42ndmNetwork::Interface::IP: TCP-MSS adjustment enabled. Jun 10 02:09:42ndmNetwork::Interface::IP: "OpenVPN0": IP address cleared. Jun 10 02:09:42ndmNetwork::Interface::Base: "OpenVPN0": schedule cleared. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": set connection via any interface. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration successfully saved. Jun 10 02:09:42ndmNetwork::Interface::OpenVpn: "OpenVPN0": disable automatic routes accept via tunnel. Jun 10 02:09:43ndmCore::ConfigurationSaver: saving configuration... Jun 10 02:09:45OpenVPN0Unrecognized option or missing or extra parameter(s) in configuration: (line 10): block-outside-dns (2.4.2) Jun 10 02:09:45OpenVPN0Exiting due to fatal error Jun 10 02:09:45ndmService: "OpenVPN": unexpectedly stopped. Jun 10 02:09:45ndmNetwork::Interface::OpenVpn: "OpenVPN0": configuration is invalid. Jun 10 02:09:46ndmCore::ConfigurationSaver: configuration saved. В итоге интерфейс не поднимается. Пробовал через telnet поднимать, тоже ошибку выдает. Нуждаюсь в помощи. upd: убрал "setenv opt block-outside-dns", интерфейс стратовал, получил внешний IP, но находится в статусе "Резервирование" и не имеет выхода в интернет. Конфиг выглядит так: Скрыть содержимое nobind client # Remote server here remote vpn.zaborona.help remote-cert-tls server cipher AES-128-CBC setenv opt ncp-ciphers AES-128-GCM setenv opt block-outside-dns dev tun proto tcp <ca> -----BEGIN CERTIFICATE----- MIIDOzCCAiOgAwIBAgIJAOZ+WWiLZjjVMA0GCSqGSIb3DQEBCwUAMBgxFjAUBgNV BAMMDVphYm9yb25hLmhlbHAwHhcNMTcwNTE5MTk0MzI3WhcNMjcwNTE3MTk0MzI3 WjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEA4BufraaBWWD5M8h7vt+4wGw/7OHeKOqZN4hS/OmqfwOIEJV3 5OWtzLmL5OpT5kIZ+NetF3ooc2pWRSZ+642IlzjIC2GqT/V5p/VXKjZsAZXQaaVo OuWXlVmJFpR9nO3PIDn4wQvhQPPnJIYQgCl/vMV7TE9ZkpziEBAY9v3chwXHJ8+w DyXkFn/BIMBdDamz+K7ffH17CM4aLr59W9AKc/DVox9ogdXmiVwCXag6byENZZEz 1LgpU+YtH/GnVyLSsaXC/fZQ12/NMjI/XXIM6x02pR/F4faOCLHHdYaWp3XJTQPj vdPp7ve/8qWNijdkRma7y8TbmRYEut/JbiLFyQIDAQABo4GHMIGEMB0GA1UdDgQW BBR7+jwpIvjCvbSi5cDxbig/UkYIuDBIBgNVHSMEQTA/gBR7+jwpIvjCvbSi5cDx big/UkYIuKEcpBowGDEWMBQGA1UEAwwNWmFib3JvbmEuaGVscIIJAOZ+WWiLZjjV MAwGA1UdEwQFMAMBAf8wCwYDVR0PBAQDAgEGMA0GCSqGSIb3DQEBCwUAA4IBAQCA HG//Q5HrOuucEdqQqmxUhyXp+wZgcHMkDmqaXD2kgbhaa6L7M68yGryDsHFh+pZ6 1ePabk7kmvJnYWEY7veQzWJgBNfHBja+2wTEOEQTJW0DCeJw9QUpajrBcrRQz5DJ BGrXcKAWZvqYjgp3fIDGtxZh0KCaJrPT2jmj3qM+aq8LEhM2mlqpvLVq6FLvUYiU /iTdNpVL6Xdd16839G1VatvnZlCoGTc/6iBwbs9+xt7BkCVdY2gb3egB833gAxwv DMwC41oj8XJlY2N5ieqhINYCtNOa+9REoJP9fycoNMpcejbF/UeEdZtpCfRHAE7h BvStsSqP1Gl9ZeCtmntI -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDWzCCAkOgAwIBAgIBAjANBgkqhkiG9w0BAQsFADAYMRYwFAYDVQQDDA1aYWJv cm9uYS5oZWxwMB4XDTE3MDUxOTE5NDQxMloXDTI3MDUxNzE5NDQxMlowETEPMA0G A1UEAwwGcHVibGljMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0RMM ZHEgUmH5Mve+lOPrAIVfbmLNP+93J3Gymtga4pu/ia44/+7hQiE01ad13RuoiplI 1KyQAaHUiYh2YKX6K+ZTQwHWYXBXVsbmQVjqftSOlakWSWW0gZq9qV8Dbxa1hP51 KTdj8fPk2jfiv/D2N60FaqSg/pL4+Xjjo2ogBLvHujnNebOaZ2VJFQT1chEpT9ch /H0GWMS3qK6vBEnXBcxio8DxfyRMarwbzFfSM4prv4VE7BfgJ+5Fm2IEsLtWKAM1 kH+1rPXaBlZbDj4ozlV4gYD1rJYXL3ngzMj5/Tymt3Oj/RVsM1fl25JaA9hQSr0r Y/2Qb3PuuuQiUkk64wIDAQABo4G2MIGzMAkGA1UdEwQCMAAwHQYDVR0OBBYEFBHa Ph6sI0eq0z6O+E2KFdLA2fPnMEgGA1UdIwRBMD+AFHv6PCki+MK9tKLlwPFuKD9S Rgi4oRykGjAYMRYwFAYDVQQDDA1aYWJvcm9uYS5oZWxwggkA5n5ZaItmONUwHQYD VR0lBBYwFAYIKwYBBQUHAwIGCCsGAQUFBwMRMAsGA1UdDwQEAwIHgDARBgNVHREE CjAIggZwdWJsaWMwDQYJKoZIhvcNAQELBQADggEBAFWlN/iFntyrXC6GA/VY9sWF aah7FUTZ7axd/qL70x+s62VcohddX4qFdETdeAPPva7Z60lKQdXwjXynJ/DiLiS5 UoALMD1bSzDBqA69GrSDTMsYvVU3QvNmUgBvPHjXqqj9ZT287KxYzRPWNY9m8IBA 4T8Q3zJFOtKZH0gijoMUWI10fnwU1olkt5d28ldRC2EYuE+Gdm8jAZDvfQ4XwkvD CfG+gSIJ8Gg1VfsaX2qKgoBNW5or6RSxdBKCiVgLL3GSITlkrrN0O7VvT8C/qDJs pk/mgRCDARL8jLwtaRV0xrDAnSPyuctRpHc6BFJzDKerX7ABCgOOcTUAr8SbbSc= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIIEvwIBADANBgkqhkiG9w0BAQEFAASCBKkwggSlAgEAAoIBAQDREwxkcSBSYfky 976U4+sAhV9uYs0/73cncbKa2Brim7+Jrjj/7uFCITTVp3XdG6iKmUjUrJABodSJ iHZgpfor5lNDAdZhcFdWxuZBWOp+1I6VqRZJZbSBmr2pXwNvFrWE/nUpN2Px8+Ta N+K/8PY3rQVqpKD+kvj5eOOjaiAEu8e6Oc15s5pnZUkVBPVyESlP1yH8fQZYxLeo rq8ESdcFzGKjwPF/JExqvBvMV9Izimu/hUTsF+An7kWbYgSwu1YoAzWQf7Ws9doG VlsOPijOVXiBgPWslhcveeDMyPn9PKa3c6P9FWwzV+XbkloD2FBKvStj/ZBvc+66 5CJSSTrjAgMBAAECggEBAJBE6603ns0aTCJOcFU/fP8sCXEbfnRa4sb2Hv/YlZy/ SolQDocUqJ3AWjwARUWg+0lAgtA2j1yA9i89WipQ/fNjCRtY3jz4j1wS/fojyBRi yk0dk4JsSwWP6MZCCRWT/wfZqrEZRr9DxCyMmcxHEy/SFcXD+lAQzPsg3zv5VETO q67S2s/njkSWyA9woRJLztld/Az/Rgh5VP2TxDCIHb0dTE6648lIUO0VkVfg8+G4 3BLXXA86YCFmRdTfs6rywf9jPN6V1gnyICk198/2Ne+jM3kNxNMn8jBDbjTkxT1b ovBKDDpNNuLbBTjtlxEm3Q1CPuAH+0L8nfb9ZtSoISkCgYEA6rvgqTwAX272LXZi jJuE6tJtOB47tih8HRgzQbCLPRduwz7P7ObtUSD88fSYsKCEb3T3kiUeMVADbWnR DLqUetcDUAjPe0l/KcR0pef0mVvP1CnsTY+i9yGAOMkfrLqIBrLRd+8KRs85DHYm /NYDHptDdGHjBW8Olc4L6+Wq/4cCgYEA5AQOlD9oWQuvrWhX1K1sK0JQxu36phrD w5JuS5TJKyWxzABkgHJx8ZVIOhNUtXLSAkVQlaM5hKj/gVgf+DZsKaIcxWT7xLZZ Qdiz3bRFtigxyZD67oRvzxBWg5XBnrgieM/C5+EiNQ3iRDjbvL228+cDIYPpwwtD 7/hHA15uqMUCgYEAgEZngVQeyAg1U6bMOBaMzl5r/SzYaLU7DhM5f35guOPjTaM3 sTiJG7qxP+/wuSUe+mGrIRxToZMeLF6VNSWJGpABaW1HJRKHAWYwcLGPg3ce3cyD K+eAoRiXn3CZdKUCzNZPjgD9VrDLdjnjGGxDjChA9oq/qyqDh+3vqdv6VGUCgYBX qIOeVJ4eFZMNPF7/wUgjfVQmlhjVQNbf2eyTG/kWoGAxCDma8+SANp7UzNe1BhZc jx9C18RmDr5jkGiB+RIuE0eyT3dHEb9QxCmp4wMl22AAmL8PcVS2qxZHcgxEo4+F GIJauL943ASPq7g2YEz0iWw3t0noFO2iVLWgQu6R7QKBgQCp9SedsiPJXQADFVln 7j5yLj7qBdATuZHbqfCt4CI7GO+5kjtNqFdZAZphP+gFJe49srS17WPLEFYpQpix T77eOw4U3iIgoJoxn545CkMdH4H0lsQhfBOTqFJ8rdAzLTAa4pzgAOvLMsZWxM32 c+bjFxzMVzfVFOx30yZN8YbX6Q== -----END PRIVATE KEY----- </key> Пока наш OpenVPN не умеет получать DNS снаружи, потому пропишите их руками. А вообще если он поднялся, то поднимите у него приоритет на странице broadband.globals. У OpenVPN должно быть самое больше число (при создании оно обычно самое низкое). Тогда все будет работать через него. И не забудьте поставить галку "Получать маршруты от удаленной стороны". Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 (edited) Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors". После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился. При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. Edited June 10, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 5 минут назад, KorDen сказал: Столкнулся с тем же, что и у @AlexUnder2010 - ругается на block-outside-dns и не запускается. При этом в моем случае опция пушится с сервера, и по мануалу "Note that pushing unknown options from server does not trigger fatal errors". После добавления в конфиг "ignore-unknown-option block-outside-dns" запустился. При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо". Ну а добавив в игнор человек показывает, что он понимает что делает. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 6 минут назад, KorDen сказал: При включении получения маршрутов с удаленной стороны, насколько я понимаю, получает максимум 64 маршрута. Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 Еще из ограничений: сейчас вообще не поддерживается IPv6 внутри и снаружи туннеля. Если кому-то это важно, то приведите нам пример туннельного провайдера с IPv6, чтобы мы тестировали на реальной конфигурации. Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать. Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 (edited) 1 час назад, Le ecureuil сказал: Насчет числа маршрутов - все ограничено только самим OpenVPN, система примет столько, сколько он ей передаст. Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. 1 час назад, Le ecureuil сказал: У нас спецально пропатчено, чтобы неизвестные опции вызывали фатальные ошибки - так проще выявить неработоспособность вместо иллюзии что "все хорошо". Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)" Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? Edited June 10, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
pachalia Posted June 10, 2017 Share Posted June 10, 2017 Как настроить OpenVPN? Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать? Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 (edited) 39 минут назад, pachalia сказал: Имеются файл с расширением ovpn. 2 файла с расширением crt и файл с расширением key. Что с ними надо делать? Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг. Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>). Например: Скрытый текст #содержимое ovpn client tls-client nobind ........ ........ #надо удалить строчки ca, cert и key ........ #конец содержимого ovpn <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Содержимое ovpn кидаем в таком виде в вебморду Edited June 10, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
T@rkus Posted June 10, 2017 Share Posted June 10, 2017 1 час назад, KorDen сказал: Вариант 1: положить файлы crt/key куда-нибудь на флешку, открыть ovpn блокнотом, поправить пути в директивах ca, cert и key (и возможно tls-auth, если есть hmac), закинуть содержимое в конфиг. Вариант 2, более правильный: засунуть содержимое crt и key в ovpn: Открываем все файлы на редактирование в блокноте, смотрим в ovpn, какой файл указан в директиве ca (например ca serverca.crt). Удаляем эту строчку, вместо этого помещаем содержимое нужного файла в <ca> </ca> в конце ovpn файла. Аналогично делаем для key (<key>) и cert (<cert>). Например: Показать содержимое #содержимое ovpn client tls-client nobind ........ ........ #надо удалить строчки ca, cert и key ........ #конец содержимого ovpn <ca> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY----- </key> Содержимое ovpn кидаем в таком виде в вебморду Ну ,а если конфигурация такая? Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ? Quote Link to comment Share on other sites More sharing options...
pachalia Posted June 10, 2017 Share Posted June 10, 2017 8 часов назад, Le ecureuil сказал: Короче у вас есть две недели на обсуждение хотелок и проблем, а потом я вернусь в работу и начнем реализовывать. Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так. Quote Link to comment Share on other sites More sharing options...
T@rkus Posted June 10, 2017 Share Posted June 10, 2017 11 минуту назад, pachalia сказал: Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). Соглашусь. Реализовать подобное было бы уж точно не лишним. 1 Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 (edited) 1 час назад, T@rkus сказал: Как быть с файлами ca-4k.crt, user-4k.crt, user-4k.key ? Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет. И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе Edited June 10, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
T@rkus Posted June 10, 2017 Share Posted June 10, 2017 (edited) 35 минут назад, KorDen сказал: Так а какие именно файлы у вас указаны в ca, cert и key в ovpn-файле? с 4k или без? Я так понимаю просто файлы - длина ключа 2048bit, а которые 4k - 4096bit. Чем больше длина ключа, тем типа безопаснее и тем медленее. Это уже на вкус и цвет. И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе Без 4к. Но соединение поднялось с ошибками. client dev tun1 proto udp remote 5.45.80.25 53 resolv-retry infinite redirect-gateway def1 nobind tun-mtu 1500 tun-mtu-extra 32 ca ca.crt cert user.crt key user.key cipher AES-256-CBC ns-cert-type server persist-key persist-tun verb 3 explicit-exit-notify route-method exe route-delay 3 route-metric 512 ping 45 ping-restart 225 Jun 10 19:28:03 OpenVPN0 OpenVPN 2.4.2 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] Jun 10 19:28:03OpenVPN0 library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.10 Jun 10 19:28:03OpenVPN0 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead. Jun 10 19:28:03OpenVPN0 TCP/UDP: Preserving recently used remote address: [AF_INET]5.45.80.25:53 Jun 10 19:28:03OpenVPN0 Socket Buffers: R=[155648->155648] S=[155648->155648] Jun 10 19:28:03OpenVPN0 UDP link local: (not bound) Jun 10 19:28:03OpenVPN0 UDP link remote: [AF_INET]5.45.80.25:53 Jun 10 19:28:03OpenVPN0 NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay Jun 10 19:28:03OpenVPN0 TLS: Initial packet from [AF_INET]5.45.80.25:53, sid=173d0de3 d3e9f67f Jun 10 19:28:03OpenVPN0 VERIFY OK: depth=1, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=ShadeYou.com CA, emailAddress=support@shadeyou.com Jun 10 19:28:03OpenVPN0 VERIFY OK: nsCertType=SERVER Jun 10 19:28:03OpenVPN0 VERIFY OK: depth=0, C=RU, ST=RU-LEN, L=Saint Petersburg, O=ShadeYou.com, CN=shadeyou.com, emailAddress=support@shadeyou.com Jun 10 19:28:03OpenVPN0 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA Jun 10 19:28:03OpenVPN0 [shadeyou.com] Peer Connection Initiated with [AF_INET]5.45.80.25:53 Jun 10 19:28:04ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to remote endpoint 5.45.80.25 via PPTP2. Jun 10 19:28:04ndm Core::ConfigurationSaver: configuration saved. Jun 10 19:28:05OpenVPN0 SENT CONTROL [shadeyou.com]: 'PUSH_REQUEST' (status=1) Jun 10 19:28:05OpenVPN0 PUSH: Received control message: 'PUSH_REPLY,route 10.202.0.0 255.255.0.0,redirect-gateway def1,dhcp-option DNS 10.202.0.1,route 10.202.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.202.0.22 10.202.0.21' Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: timers and/or timeouts modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: --ifconfig/up options modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: route options modified Jun 10 19:28:05OpenVPN0 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified Jun 10 19:28:05OpenVPN0 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jun 10 19:28:05OpenVPN0 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 10 19:28:05OpenVPN0 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jun 10 19:28:05OpenVPN0 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jun 10 19:28:05OpenVPN0 TUN/TAP device tun1 opened Jun 10 19:28:05OpenVPN0 TUN/TAP TX queue length set to 100 Jun 10 19:28:05OpenVPN0 do_ifconfig, tt->did_ifconfig_ipv6_setup=0 Jun 10 19:28:05ndm Network::Interface::IP: "OpenVPN0": IP address is 10.202.0.22/32. Jun 10 19:28:05ndm Network::Interface::OpenVpn: "OpenVPN0": TUN peer address is 10.202.0.21. Jun 10 19:28:05ndm Network::Interface::OpenVpn: "OpenVPN0": added host route to peer 10.202.0.21 via 10.202.0.22. Jun 10 19:28:07ndm Network::Interface::IP: "PPTP2": global priority is 990. Jun 10 19:28:07ndm Network::Interface::IP: "OpenVPN0": global priority is 1000. Jun 10 19:28:07ndm Core::ConfigurationSaver: saving configuration... Jun 10 19:28:09ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:09ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 19:28:10ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:10ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 19:28:10ndm Network::RoutingTable: gateway 10.202.0.21 is unreachable via OpenVPN0. Jun 10 19:28:10ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 19:28:10OpenVPN0 GID set to nobody Jun 10 19:28:10OpenVPN0 UID set to nobody Jun 10 19:28:10OpenVPN0 Initialization Sequence Completed Jun 10 19:28:11ndm Core::ConfigurationSaver: configuration saved. Edited June 10, 2017 by T@rkus Quote Link to comment Share on other sites More sharing options...
T@rkus Posted June 10, 2017 Share Posted June 10, 2017 32 минуты назад, KorDen сказал: И да, лучше юзайте 443 или 1194, 53 порт пров может перенаправлять к себе А как порты прописать? Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2017 Author Share Posted June 10, 2017 (edited) 12 минуты назад, T@rkus сказал: gateway 10.202.0.21 is unreachable via OpenVPN0 А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще. 9 минут назад, T@rkus сказал: А как порты прописать? Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443. 12 минуты назад, T@rkus сказал: tun-mtu 1500 tun-mtu-extra 32 Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн? Edited June 10, 2017 by KorDen Quote Link to comment Share on other sites More sharing options...
T@rkus Posted June 10, 2017 Share Posted June 10, 2017 (edited) 47 минут назад, KorDen сказал: А на эти ошибки и я натыкался. нажмите еще раз "сохранить" и наверняка будет уже без них. Похоже баг, периодически при сохранении он почему-то пытается добавить маршруты еще до установки IP или чего-то еще. Судя по сайту, там должны были быть готовые разные ovpn-файлы. Но вообще, достаточно подправить строчку remote, например просто уберите 53 в конце (подключится на дефолтный 1194), или замените на 443. Хоспаде, ну и писатели у этих впн-сервисов... Или это типа шобы враг не догадался, что впн? Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Edited June 10, 2017 by T@rkus Quote Link to comment Share on other sites More sharing options...
pachalia Posted June 10, 2017 Share Posted June 10, 2017 Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво: Скрытый текст client auth SHA1 auth-user-pass dev tun proto tcp remote 195.154.69.175 443 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server cipher AES-128-CBC comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDVTCCAr6gAwIBAgIJAPtfVPTPFbmAMA0GCSqGSIb3DQEBBQUAMHsxCzAJBgNV BAYTAkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVW cG5NRTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG 9w0BCQEWDWluZm9AdnBubWUubWUwHhcNMTYwMTAzMTkyMzI5WhcNMjUxMjMxMTky MzI5WjB7MQswCQYDVQQGEwJGUjELMAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5j ZTEOMAwGA1UEChMFVnBuTUUxDzANBgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2Vy dmVyMRwwGgYJKoZIhvcNAQkBFg1pbmZvQHZwbm1lLm1lMIGfMA0GCSqGSIb3DQEB AQUAA4GNADCBiQKBgQCsQGdoMRnFMiLx0dtbSInV4AZf1oCYqVBfbrDM7+9NE7D+ XmTdej86Jk3MIBtD9ttNdmHrIjLijhAmzmWRRoFMf5Dav/6BrE3F7xaKZ9tVKqWp yaPOvzFGdKff5rW49/B24RS2UiP6EWo7cnr8fqXzMspJ+KJqsUysZ5+HCUvtewID AQABo4HgMIHdMB0GA1UdDgQWBBTUuVH0pVFDMhltGgrMw3to2X/3czCBrQYDVR0j BIGlMIGigBTUuVH0pVFDMhltGgrMw3to2X/3c6F/pH0wezELMAkGA1UEBhMCRlIx CzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNVBAoTBVZwbk1FMQ8w DQYDVQQDEwZzZXJ2ZXIxDzANBgNVBCkTBnNlcnZlcjEcMBoGCSqGSIb3DQEJARYN aW5mb0B2cG5tZS5tZYIJAPtfVPTPFbmAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcN AQEFBQADgYEAiAYYgJHrkeHYJZSBrnPeMY4BpUiWcYR1vt08O2ec4dul6OcPKD5V sFc70LNNZgqFO92AU/KXttgjyPB9nS/E7So+PYMHUapXoBbSaZcStQ0sjdOW3TU/ YjPWwAnXy4eVGVWM+/udHLJD5Juxqhr7By8OyQ+r7f78KKs71pn3uAg= -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDnTCCAwagAwIBAgIBAjANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJGUjEL MAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5jZTEOMAwGA1UEChMFVnBuTUUxDzAN BgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2VydmVyMRwwGgYJKoZIhvcNAQkBFg1p bmZvQHZwbm1lLm1lMB4XDTE2MDEwMzE5MjQyN1oXDTI1MTIzMTE5MjQyN1owezEL MAkGA1UEBhMCRlIxCzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNV BAoTBVZwbk1FMQ8wDQYDVQQDEwZjbGllbnQxDzANBgNVBCkTBmNsaWVudDEcMBoG CSqGSIb3DQEJARYNaW5mb0B2cG5tZS5tZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5rz+0fNRiRsysxaMH70j0yS8Nx+gfULmdZdgX7BoA/nWYeXA8v3JcroP zEx4VXXQghAi3UcEkM2Oi2qIxLajs7J53BHuyRgq335EIEXDaLm8slJuYgTiJ6iP rT2OI1heIr0VrlLrN0VLEINmDnH+KCfBDD4FB+VI41zdzSG1qJECAwEAAaOCAS8w ggErMAkGA1UdEwQCMAAwLQYJYIZIAYb4QgENBCAWHkVhc3ktUlNBIEdlbmVyYXRl ZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUxWobSVw7ciPHezhOkoI8b3jbWjUwga0G A1UdIwSBpTCBooAU1LlR9KVRQzIZbRoKzMN7aNl/93Ohf6R9MHsxCzAJBgNVBAYT AkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVWcG5N RTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG9w0B CQEWDWluZm9AdnBubWUubWWCCQD7X1T0zxW5gDATBgNVHSUEDDAKBggrBgEFBQcD AjALBgNVHQ8EBAMCB4AwDQYJKoZIhvcNAQEFBQADgYEAU1KEykRw4z1vtHbvgCcD kQaWgCZwxAj3GgD47HHEhQ1G2c02NNLhqa74XeBCE3PAdhp8vZd6KODjn6tpBGWU jzkdcCK9P0G96Mokrfsuim+2Nh8K3AsxdtIpPvqrUwbW8qxILrWbx03UqRD0x38a XhqEXBwzQ48Mn7BsPUqRCcs= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAOa8/tHzUYkbMrMW jB+9I9MkvDcfoH1C5nWXYF+waAP51mHlwPL9yXK6D8xMeFV10IIQIt1HBJDNjotq iMS2o7OyedwR7skYKt9+RCBFw2i5vLJSbmIE4ieoj609jiNYXiK9Fa5S6zdFSxCD Zg5x/ignwQw+BQflSONc3c0htaiRAgMBAAECgYAdgPUka3R1j6C//ZYVSN4X1Y6r jcO7wJ4vUxfjpG7ocz3SbsppR8JGhTwX539LjjEHMIEEwlv3GBGuCgVLAf+UcIff G9X9bTePaMzsTd+ogD81ipOOLmbrqo7sV9DP7WoiU2ssT1sj5bHHs6oLX2WoMmic HUP83VeOkG0q0sCYQQJBAPdKVSxIfshqMdeDdVDoEYXPA2hlefqr00wqxdATrcha lQb0XFwt8YWcSWj1T7QuRqcmaSclnWR/3BAH5EDpOo0CQQDu3WwlKGPf6dbR/+5x /IFc/rxsYlScsPNqH4fJdNiYYeWF0SsHQKfYrn2emlIwCJeSa4O//Qtk6WnKVroU YgcVAkEAmpxX+lLtKcLznKotXENsSTvwBoKDrE1n05Rej0Tuf3ja+jkn0d5Lxly7 rSrLBX11YSZr0jT7Xg1u+nrkpAzuNQJBAKQKzMp4Ap80KKPv8AG4N9910lFc9l7l 50VqggaIiHeeQ9Ky46oHbT4SF5NkyCzUucOEsuaXEcwrwMuE5CY7bEECQQCSyrXy AJWBOF2jtnQpMFyjqWrSFMN+i3DwCK9+O790Ss+66GbONzvBEMht+UETNPP8VP8b C9pD215VYhyUeeVQ -----END PRIVATE KEY----- </key> Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 7 часов назад, KorDen сказал: Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. mode server планируется, или пока нет? В текущем виде "Options error: --ipchange cannot be used with --mode server (use --client-connect instead)" Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? mode server планируется, но чуть позже Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 7 часов назад, KorDen сказал: Ах да, еще интересный вопрос: Возможно ли напрячь аппаратный криптомодуль обработкой AES[/hmac]? Или EIP умеет только в ESP? Или улучшения производительности не будет из-за юзерспейсности и прочих костылей сабжа? Это все требует исследования, и явно не в ближайший месяц. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 4 часа назад, pachalia сказал: Ну, пожалуй начнём. 1 - Загрузка информации должна идти не через копирование-вставка, а через выбор файла(ов). 2 - Нужно чтобы была проверка синтаксиса. А сейчас приходиться лесть в лог и смотреть где что не так. 1. Да, выбор файла приделаем (возможно), все равно - только одного файла. Клеить их нужно самостоятельно. 2. Проверка синтаксиса осуществляется через загрузку и один цикл поднятия. Пока достаточно, потом расширим. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 27 минут назад, pachalia сказал: Если сервер не доступен, то у меня завис намертво роутер. Вот конфиг на котором роутер повис намертво: Скрыть содержимое client auth SHA1 auth-user-pass dev tun proto tcp remote 195.154.69.175 443 resolv-retry infinite nobind persist-key persist-tun ns-cert-type server cipher AES-128-CBC comp-lzo verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDVTCCAr6gAwIBAgIJAPtfVPTPFbmAMA0GCSqGSIb3DQEBBQUAMHsxCzAJBgNV BAYTAkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVW cG5NRTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG 9w0BCQEWDWluZm9AdnBubWUubWUwHhcNMTYwMTAzMTkyMzI5WhcNMjUxMjMxMTky MzI5WjB7MQswCQYDVQQGEwJGUjELMAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5j ZTEOMAwGA1UEChMFVnBuTUUxDzANBgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2Vy dmVyMRwwGgYJKoZIhvcNAQkBFg1pbmZvQHZwbm1lLm1lMIGfMA0GCSqGSIb3DQEB AQUAA4GNADCBiQKBgQCsQGdoMRnFMiLx0dtbSInV4AZf1oCYqVBfbrDM7+9NE7D+ XmTdej86Jk3MIBtD9ttNdmHrIjLijhAmzmWRRoFMf5Dav/6BrE3F7xaKZ9tVKqWp yaPOvzFGdKff5rW49/B24RS2UiP6EWo7cnr8fqXzMspJ+KJqsUysZ5+HCUvtewID AQABo4HgMIHdMB0GA1UdDgQWBBTUuVH0pVFDMhltGgrMw3to2X/3czCBrQYDVR0j BIGlMIGigBTUuVH0pVFDMhltGgrMw3to2X/3c6F/pH0wezELMAkGA1UEBhMCRlIx CzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNVBAoTBVZwbk1FMQ8w DQYDVQQDEwZzZXJ2ZXIxDzANBgNVBCkTBnNlcnZlcjEcMBoGCSqGSIb3DQEJARYN aW5mb0B2cG5tZS5tZYIJAPtfVPTPFbmAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcN AQEFBQADgYEAiAYYgJHrkeHYJZSBrnPeMY4BpUiWcYR1vt08O2ec4dul6OcPKD5V sFc70LNNZgqFO92AU/KXttgjyPB9nS/E7So+PYMHUapXoBbSaZcStQ0sjdOW3TU/ YjPWwAnXy4eVGVWM+/udHLJD5Juxqhr7By8OyQ+r7f78KKs71pn3uAg= -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDnTCCAwagAwIBAgIBAjANBgkqhkiG9w0BAQUFADB7MQswCQYDVQQGEwJGUjEL MAkGA1UECBMCRlIxDzANBgNVBAcTBkZyYW5jZTEOMAwGA1UEChMFVnBuTUUxDzAN BgNVBAMTBnNlcnZlcjEPMA0GA1UEKRMGc2VydmVyMRwwGgYJKoZIhvcNAQkBFg1p bmZvQHZwbm1lLm1lMB4XDTE2MDEwMzE5MjQyN1oXDTI1MTIzMTE5MjQyN1owezEL MAkGA1UEBhMCRlIxCzAJBgNVBAgTAkZSMQ8wDQYDVQQHEwZGcmFuY2UxDjAMBgNV BAoTBVZwbk1FMQ8wDQYDVQQDEwZjbGllbnQxDzANBgNVBCkTBmNsaWVudDEcMBoG CSqGSIb3DQEJARYNaW5mb0B2cG5tZS5tZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEA5rz+0fNRiRsysxaMH70j0yS8Nx+gfULmdZdgX7BoA/nWYeXA8v3JcroP zEx4VXXQghAi3UcEkM2Oi2qIxLajs7J53BHuyRgq335EIEXDaLm8slJuYgTiJ6iP rT2OI1heIr0VrlLrN0VLEINmDnH+KCfBDD4FB+VI41zdzSG1qJECAwEAAaOCAS8w ggErMAkGA1UdEwQCMAAwLQYJYIZIAYb4QgENBCAWHkVhc3ktUlNBIEdlbmVyYXRl ZCBDZXJ0aWZpY2F0ZTAdBgNVHQ4EFgQUxWobSVw7ciPHezhOkoI8b3jbWjUwga0G A1UdIwSBpTCBooAU1LlR9KVRQzIZbRoKzMN7aNl/93Ohf6R9MHsxCzAJBgNVBAYT AkZSMQswCQYDVQQIEwJGUjEPMA0GA1UEBxMGRnJhbmNlMQ4wDAYDVQQKEwVWcG5N RTEPMA0GA1UEAxMGc2VydmVyMQ8wDQYDVQQpEwZzZXJ2ZXIxHDAaBgkqhkiG9w0B CQEWDWluZm9AdnBubWUubWWCCQD7X1T0zxW5gDATBgNVHSUEDDAKBggrBgEFBQcD AjALBgNVHQ8EBAMCB4AwDQYJKoZIhvcNAQEFBQADgYEAU1KEykRw4z1vtHbvgCcD kQaWgCZwxAj3GgD47HHEhQ1G2c02NNLhqa74XeBCE3PAdhp8vZd6KODjn6tpBGWU jzkdcCK9P0G96Mokrfsuim+2Nh8K3AsxdtIpPvqrUwbW8qxILrWbx03UqRD0x38a XhqEXBwzQ48Mn7BsPUqRCcs= -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- MIICeAIBADANBgkqhkiG9w0BAQEFAASCAmIwggJeAgEAAoGBAOa8/tHzUYkbMrMW jB+9I9MkvDcfoH1C5nWXYF+waAP51mHlwPL9yXK6D8xMeFV10IIQIt1HBJDNjotq iMS2o7OyedwR7skYKt9+RCBFw2i5vLJSbmIE4ieoj609jiNYXiK9Fa5S6zdFSxCD Zg5x/ignwQw+BQflSONc3c0htaiRAgMBAAECgYAdgPUka3R1j6C//ZYVSN4X1Y6r jcO7wJ4vUxfjpG7ocz3SbsppR8JGhTwX539LjjEHMIEEwlv3GBGuCgVLAf+UcIff G9X9bTePaMzsTd+ogD81ipOOLmbrqo7sV9DP7WoiU2ssT1sj5bHHs6oLX2WoMmic HUP83VeOkG0q0sCYQQJBAPdKVSxIfshqMdeDdVDoEYXPA2hlefqr00wqxdATrcha lQb0XFwt8YWcSWj1T7QuRqcmaSclnWR/3BAH5EDpOo0CQQDu3WwlKGPf6dbR/+5x /IFc/rxsYlScsPNqH4fJdNiYYeWF0SsHQKfYrn2emlIwCJeSa4O//Qtk6WnKVroU YgcVAkEAmpxX+lLtKcLznKotXENsSTvwBoKDrE1n05Rej0Tuf3ja+jkn0d5Lxly7 rSrLBX11YSZr0jT7Xg1u+nrkpAzuNQJBAKQKzMp4Ap80KKPv8AG4N9910lFc9l7l 50VqggaIiHeeQ9Ky46oHbT4SF5NkyCzUucOEsuaXEcwrwMuE5CY7bEECQQCSyrXy AJWBOF2jtnQpMFyjqWrSFMN+i3DwCK9+O790Ss+66GbONzvBEMht+UETNPP8VP8b C9pD215VYhyUeeVQ -----END PRIVATE KEY----- </key> Зависания добится не удалось, однако интерактивный запрос логина и пароля не поддерживаются. Надо напрямую прописать в конфиг через секцию <up> (пока не поддерживается, сделаем потом). Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 1 час назад, T@rkus сказал: Прописал конфигурацию под 443 порт. У них под UDP 53 под TCP 443. Ошибки все те же Показать содержимое Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd053c]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Jun 10 20:29:46ndm Network::RoutingTable: gateway 10.102.0.41 is unreachable via OpenVPN0. Jun 10 20:29:46ndm Network::Interface::OpenVpn: "OpenVPN0": system failed [0xcffd05b2]. Суть понятна, починим. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2017 Share Posted June 10, 2017 7 часов назад, KorDen сказал: Да, проверил - нормально получает более 64. Видимо на первоначальном тестовом сервере какой-то баг.. Если эти ошибки в локальном конфигурационном файле - логично. Но если это ошибки в пропушенных с сервера опциях, зачем? Традиционно провайдеры VPN пушат опции и для Win, соответственно такие конфиги будут по-умолчанию фелиться. Потому что у нас альфа-тестирование. Сейчас это специально эскалировано до статуса ошибки и требует ручного вмешательства (надеюсь в данной теме на это все способны, иначе вам еще рано пробовать OpenVPN), а потом, когда отловим основные баги и будет работать нормально - расслабим проверки. Quote Link to comment Share on other sites More sharing options...
IgaX Posted June 10, 2017 Share Posted June 10, 2017 2 часа назад, KorDen сказал: шобы враг не догадался, что впн они все-равно палятся, когда не по форме отвечают:https://www.sslchecker.com/sslchecker Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.